php iframe referer,Iframe referer policy

最新推荐文章于 2023-11-10 21:26:37 发布
最新推荐文章于 2023-11-10 21:26:37 发布
阅读量507 收藏
点赞数
文章标签: php iframe referer

在 iframe 中可以通过 referrerpolicy 指定获取指定资源时设置什么样的 referrer。

在 iframe 中 referrerpolicy 的取值有:

no-referrer

origin

origin-when-cross-origin

unsafe-url

no-referrer-when-downgrade

no-referrer

表示在访问资源的时候不会带上 referrer 信息

1da5c11297f7136e696de4ced146589c.png

origin

表示访问资源的时候,会带上来源页面的信息,包括:host 和 port

cc493bf14b33e7f9ce25aa74bc8c77f7.png

origin-when-cross-origin

表示访问不同域的资源,referrer 信息只包含 host 和 port,访问同域的资源时,除了 host 和 port,还会带上源页的 path 信息

不同域

f47b09ce174c659ccf0ebd5b1108347a.png

unsafe-url

表示访问资源时,referrer 信息会带上除 fragment、password、username 以外的所有信息,包括:host、port、path,当使用这个 policy 会有安全隐患,会把受 TLS 保护的 origin 信息泄露给不安全的域。

dd049b014dc3af4789bba9bb6d546189.png

no-referrer-when-downgrade

这个策略是浏览器的默认策略,表示受 TLS 保护的 origin,在访问非 TLS 包含的资源时,会去掉 referrer 信息,反过来访问相同安全级别的域时 referrer 会带上 host、port、path。

bab3ee349078b33584876c2d381aac36.png

以上示例的项目地址:

参考

聪明小千
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
chrome iframe 跨域_Chrome 新的默认 ReferrerPolicy : strictoriginwhencrossorigin
weixin_39819327的博客
11-28 6980
如果你的站点有使用 Referer 标头收集网页的访问来源信息,则此策略变化可能对你的程序造成影响,请仔细阅读。在开始阅读本文之前,如果你不理解site和origin之间的关系,请阅读:同站和同源你理解清楚了么?Referer 标头Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer请求头识别访问...
php iframe referer,【技术分享】通过iframe注入实现referer欺骗
weixin_28778547的博客
03-19 562
稿费:100RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言去年我们提过一种很简单的在Edge上实现referer欺骗的技术,该技术允许我们实现referer欺骗甚至是绕过XSS过滤。今天我发现该问题被修复了,因此我决定在补丁上进行尝试寻找问题。老实说,我觉得这只是一种攻击的变种而不是一种绕过。从实践来看,该技术绕过了补丁再次攻击成功,但是从技术角度来看,新方法略有不...
iframe框架中取referer来源
little_bill的专栏
05-04 5864
iframe框架中取得的referer,是该iframe中地址,而不是嵌套该iframe地址。 代码 文件名:iframe-index.html [code="html"] 测试iframe页面 当前页面url:/iframe-index.html Helloworld 下面是iframe嵌套页面 ...
Referer和Referrer Policy及图片防盗链
zxl1990_ok的博客
08-31 1119
如何绕过图片防盗链?隐藏 referer(客户端请求隐藏、设置meta、设置referrerpolicy、利用iframe伪造请求referer、服务器作防盗链图片中转)。实现一个简单的服务器端防盗链
PHP伪造referer实例代码
10-30
PHP 伪造 Referer 实例代码详解 本文将详细讲解 PHP 伪造 Referer 实例代码的实现原理和应用场景,该代码主要用于突破防盗链系统,通过伪造 Referer 信息来欺骗防盗链系统,从而实现文件的下载或访问。 PHP 伪造 ...
php中HTTP_REFERER函数用法实例
10-25
PHP中的HTTP_REFERER函数是PHP语言中用于获取HTTP请求头中的Referer(推荐人)字段的值。这个字段通常由浏览器在发送请求到服务器时自动填充,表明用户是从哪个页面链接过来的。然而,需要注意的是,HTTP_REFERER...
PHP伪造来源HTTP_REFERER的方法实例详解
10-23
PHP中伪造HTTP_REFERER的方法是一种技术手段,可以使用户在请求服务器时,修改HTTP请求中的Referer字段,以伪装成其他网站的来源。由于HTTP_REFERER通常用于网站安全验证,攻击者可以利用伪造的HTTP_REFERER绕过安全...
PHP伪造referer突破网盘禁止外连的代码
10-30
标题中的"用PHP伪造referer突破网盘禁止外连的代码"是指利用PHP编程语言来模拟HTTP请求头中的`Referer`字段,以此来规避某些国内网盘对外部链接的限制。这些网盘通常会检查`Referer`字段以确保请求来源于它们自身的...
laravel-referer:记住访问者的原始referer
02-03
记住访客的原始推荐人 在会话中记住访客的原始... php artisan vendor:publish --provider="Spatie\Referer\RefererServiceProvider" 如果要更改会话中存储引用者的密钥,或者要禁用引用者源,则必须发布配置文件。
iframe中document.referrer无法取到完整url
xiawenyi1234的博客
10-29 3296
今天发生了一件特别奇怪的事,特意记录下来,以供后续查看。 测试同事反映说,使用chrome和Safari浏览器,打开线上的服务发现有问题。经检测发现,是iframe中的js文件中的函数,使用document.referrer获取外部文档的url竟然只能取到域名,其它的全取不到了,当时感觉特别奇怪,十一假期之前,还没有任何问题,结果放完假一上班就出现问题。然后就是一通折腾,发现chrome和safri都有问题,检查chrome版本,发现是86.开头的,同事的是85.开头的,都出现了同样的问题,结果装了个低版本
HTTP之ReferrerReferrer-policy
qq_57289939的博客
02-02 3429
HTTP之ReferrerReferrer-policy
修改ifream里面嵌套的样式
学而时习之,不亦说乎。
07-23 1523
修改ifream里面嵌套的样式 ifream的样式只能通过js修改 let codeTips = document.getElementById("iframe的id").contentWindow.document.getElementById("找到ifream里面的id") codeTips.style.zIndex = '5' //将样式的z-index改为5 注意是要驼峰的写法 通过以上的查找可以获取到ifream里面的节点进行修改 ...
绕过防盗链的几种方式
最新发布
qq_68163788的博客
11-10 2668
盗链是指在网站上显示其他网站上的图片、视频或其他媒体内容,而不经过原网站所有者的授权或许可。盗链会消耗原网站的带宽和资源,同时也会侵犯原网站所有者的版权和使用权利。 盗链行为通常被视为不道德和违法的,因为它侵犯了原网站所有者的权利,同时也给原网站带来不必要的成本和资源消耗。为了防止盗链,许多网站会设置防盗链功能,当检测到盗链时,会拒绝显示内容或者显示特定的替代内容。 因此,作为网络使用者,我们应该尊重其他网站所有者的权利,遵守网络使用规则,不进行盗链行为。如果我们需要在自己的网站上使用其他网站的内容
Referer的理解及防盗链
weixin_64311421的博客
01-09 6562
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
iframe 详解、案例
一个懒惰前端的博客
10-25 3613
iframe 详解、案例
iframe解决图片防盗链,并解决iframe对事件的拦截
柴钰棋的博客
07-03 1900
iframe解决图片防盗链,并解决iframe对事件的拦截图片资源因防盗链而无法加载。思路:用iframe加载一个页面,该页面空referrer请求资源。 图片资源因防盗链而无法加载。 我在引用外部图片资源时,提示403。很显然对referrer进行了过滤。浏览器新窗口试一下,发现可以打开,说明空referrer可以解决这个问题。 在head标签加上<meta name="referrer" content="never">就可以打开了。 但是这样有个问题,不仅请求资源不带referrer,打开
HTTP请求中的referrerReferrer-Policy
weixin_33714884的博客
05-12 3759
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请...
CSRF绕过Referer攻击策略与PHP防御破解
PHP等服务器端脚本中,通过检查`$_SERVER['HTTP_REFERER']`变量来验证请求的Referer字段是否符合预期,如特定网站的域名。如果请求的Referer与预设的域名匹配,则认为请求可能是来自可信的源头,从而允许执行相应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值